5

ECTS

30 sati

Predavanja
Team member six

Sigurnost digitalnog poslovanja

Status predmeta: Izborni

Saznajte više o predmetu:
Ciljevi predmeta:

Cilj kolegija je upoznati polaznike sa sigurnosnim aspektima u pametnoj industriji i digitalnom društvu. Naglasak je na servisno orijentiranim arhitekturama i implementaciji relevantnih standarda kod izgradnje heterogenih sustava. Predmet je usmjeren praktično orijentiranim stručnjacima na razini provedbe i rukovođenja koji bi trebali kreativno uvoditi sustave za potporu digitalnom poslovanju, uklapati ih u suvremene poslovne modele te voditi skrb o aspektima sigurnosti.

Ishodi učenja:

Na razini programa:

  1. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu. 
  2. Procijeniti utjecaj sigurnosne strategije, sigurnosnih politika, zakonskog okvira, primijenjenih sigurnosnih rješenja na poslovni/ informacijski sustav, te pripadajući sustav informacijske sigurnosti.
  3. Analizirati i procijeniti utjecaj različitih čimbenika (tehničkih, organizacijskih, ljudskih, zakonskih) na sigurnosne rizike.
  4. Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite resursa informacijskog sustava s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih zaštitnih mjera.
  5. Uspostaviti i unaprjeđivati ciklus planiranja – uspostave – provjere – i – korekcije sustava informacijske sigurnosti.

Na razini predmeta:

  1. Kritički prosuđivati sigurnosne aspekte u sustavima elektroničkog i mobilnog poslovanja
  2. Temeljem provedene analize preporučiti standarde, metode, tehnike i alate za izgradnju sigurnosnih mehanizama u sustavima elektroničkog i mobilnog poslovanja,
  3. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu.
  4. Zaključivati o prednostima i nedostacima uspostave sustava sigurnosti u elektroničkom i mobilnom poslovanju na konkretnim primjerima 
Sadržaj predmeta:

Uvod
Sigurnosni zahtjevi i ciljevi u sustavima pametnih industrija i digitalnog društva: pouzdanost, integritet, autentikacija, autorizacija, neporecivost. Nefunkcionalna svojstva Web i mobilnih sustava: raspoloživost, performanse, skalabilnost, sigurnost, upravljivost, održavanje, fleksibilnost, prenosivost i dr.

Tehnološka osnova elektroničkog poslovanja i sigurnosni problemi
Vrste programskih i sklopovskih arhitektura za potporu elektroničkom poslovanju. Slojevi programske aplikacije i načini interakcije slojeva. Tipične razvojne tehnologije pojedinih slojeva. Uloga pojedinih slojeva u informacijskom sustavu i značaj za elektroničko poslovanje. Primjeri poznatijih razvojnih platformi za pojedine slojeve. Odabir razvojne platforme u zavisnosti od ciljanog poslovnog modela. Osnove sigurnosti u web okruženju. Najčešće prijevare kod korištenja web aplikacija. Najčešći sigurnosni propusti web aplikacija. Metode zaštite web aplikacija. OWASP sigurnosni rizici web aplikacija. Preporuke za izradu sigurnih web aplikacija. OWASP CLASP. EDGE platforma. Secure Access Service Edge (SASE). Sigurnost okruženja. Sigurnost aplikacija u EDGE platformama. Detekcija prijetnji. Upravljanje ranjivostima.  

DevSecOps
Integracija sigurnosti u proces razvoja softvera i operativne eksploatacije produkcijskih informacijskih sustava. Uspostava sustava informacijske sigurnosti u „smart“ okruženju. Modeli zreslosti sustava informacijske sigurnosti. Cybermaturity. Cyber Security Maturity Model (CMMC). Cyber Security Capability Maturity Model (C2M2).

Upravljanje performansama i pristupu resursima 
Aktivni i redundantni elementi. Raspodjela opterećenja. Web i aplikacijski poslužitelji. Replikacija podataka. Ograničenje broja veza. Pool resursa. Modeli autentifikacije, autorizacije i zapisa aktivnosti korisnika.

Sigurnost povezivanja programskih sustava, interoperabilnost i standardi razmjene podataka 
Povezanost poslovnih procesa i utjecaj na programske sustave koji ih podržavaju. Interoperabilnost programskih sustava kao preduvjet povezivanja složenih poslovnih sustava. Raspodijeljeni programski sustavi i načini njihovog povezivanja. Standardi povezivanja i njihove značajke: (COM, DCOM, CORBA, RMI, Web Servisi). Povezivanje programskih podsustava unutar poduzeća. Povezivanje standardnih (commercial of the shelf - COTS) i nestandardnih (custom designed) programskih sustava. Interoperabilnost programa unutar poduzeća. Interoperabilnost programskih sustava između poduzeća.

Hash funkcija
Definicija i temeljni pojmovi. Poznatije HASH funkcije i njihov pseudokod (MD5, SHA). Učinkovitost algoritma izračuna. Kolizije hash funkcije. Primjena hash funkcije.

Sigurnost elektroničkog potpisa i certifikati
Temeljni koncepti i primjene. Primjeri realizacije iz prakse. Slijepi potpis. Koncept i područja primjene. Problemi i potencijalni sigurnosni propusti. Vrste napada na slijepi potpis. Infrastruktura javnih ključeva (PKI). Vrste certifikata. Uloga certifikata u zaštiti poslužitelja i korisnika. Secure E-commerce Protocol. Autentikacija i autorizacija korisnika. 

Sigurnost pametnih kartica
Razvoj kartičnih sustava. Tehnologija pametnih kartica. Unutarnja građa pametnih kartica. Operacijski sustav. Struktura memorije. Razvojna platforma i programski jezici. Općenita struktura programa za pametne kartice. Primjena pametne kartice.

Servisno orijentirane arhitekture 
Elementi, arhitekture i standardi za podršku Web servisima. Simple Object Access Protocol (SOAP). Elementi SOAP poruke i tipični primjeri korištenja. oAuth otvoreni standard za delegiranje pristupa. REST Representational State Transfer. Web Services Description Language (WSDL). Universal Description Discovery and Integration (UDDI). Primjeri UDDI repozitorija. Sigurnosni aspekti korištenja Web servisa (Kerberos, X509). Sigurnosne specifikacije za Web servise: XML potpis (XML Signature), XML enkripcija (XML Encryption), XML sustav za upravljanje ključem (XML Key Management System – XKMS), WS-Security. Upravljanje transakcijama. Utjecaj Web servisa na povezivanje poduzeća i poslovanje. Primjeri korištenja Web servisa (MS passport). Naplata Web servisa. Kvaliteta usluge (Quality of Service) pri korištenju Web servisa i utjecaj na cjelinu informacijskog sustava. Modeli ugovaranja pri korištenju Web servisa.

Zakonska regulativa elektroničkog poslovanja
Problemi Interneta i utjecaj na poslovanje. Regulacija Interneta. Odgovornost za sadržaj. Zaštita privatnosti. Zaštita autorskih prava. Pristup resursima. Ugovaranje usluga na Internetu i temeljni elementi ugovora (Quality of Service – QoS, Service Level Agreement - SLA). Globalno tržište, utjecaj korporacija i određivanje mjesta izvora prihoda, mjesta oporezivanja i odgovornosti. Digitalni potpis, relevantna zakonska regulativa i utjecaj na poslovanje. Temeljni pojavni oblici kriminala na Internetu.

Poslovni modeli i njihovi sigurnosni aspekti
Poznatiji poslovni modeli u elektroničkom poslovanju i njihovi sigurnosni problemi. Mehanizmi borbe protiv elektroničkog kriminala. Pojam digitalnog identiteta. Kreiranje digitalnog identiteta. Infrastruktura digitalnog identiteta. Verifikacija digitalnog identiteta. Krađa digitalnog identiteta. Metode zaštite digitalnog identiteta. E-autentikacija. Anonimizacija digitalnog identiteta. Primjena digitalnog identiteta u Smart City konceptu, IoT konceptu, konceptu digitalnih plaćanja.

Sigurnost i zaštita privatnosti krajnjih korisnika – B2C
Pozicija kupca u uvjetima elektroničkog poslovanja. Primjena suvremene tehnologije pri povezivanju poduzeća i kupca. Značajniji poslovni modeli B2C poslovanja i preduvjeti njihove primjene. Sustavi za potporu B2C poslovanju i njihova veza s informacijskim sustavom poduzeća. Značajke prodajnih kanala. Upravljanje prodajnim kanalom. Modeli, principi i tehnologije prikupljanja podataka o kupcima/korisnicima. Analiza ponašanja kupaca i sustavi za analizu profila kupaca. Elektronički marketing, strategije pristupa i način korištenja. Upravljanje odnosima s kupcima. Segmentiranje tržišta i interesne skupine. Vrste i uloga portala u suvremenom poslovanju.

Sigurnost financijskih transakcija u poslovanju s krajnjim korisnicima
Mehanizmi plaćanja u poslovanju s krajnjim korisnicima i tehnologije koje ih podržavaju. Prosječna cijena transakcije i isplativost sustava plaćanja. Autentičnost plaćanja. Sljedivost plaćanja i problem anonimnosti. Vrste plaćanja u elektroničkom poslovanju i njihove značajke. Offline i online sustavi plaćanja. Hash funkcija i njezina primjena u elektroničkom plaćanju. Algoritmi za generiranje elektroničkih kovanica. područja primjene, mogućnosti i ograničenja. Elektronički novac (ecash). Bitcoin. Izdavanje elektroničkog novca. Problem višestrukog trošenja. Cryptocurrency Security Standard (CCSS). PCI DSS (Payment Card Industry Data Security Standard). Kriptosustavi i njihova primjena. Sustavi kriptovaluta.

Sigurnost u uvjetima korištenja uslužnog računarstva
Tehnologije i standardi za potporu uslužnom računarstvu. Rizici korištenja uslužnog računarstva. 

Sigurnost u mobilnom poslovanju
Vrste suvremenih mobilnih platformi. Mogućnosti i ograničenja mobilne platforme (ograničenja operacijskog sustava, medija pohrane, brzine). Konvergencija mobilnih platformi. Mobilni uređaj kao dio informacijskog sustava. Programske aplikacije na mobilnim platformama. Vrste mobilnih usluga i poznatiji poslovni modeli. Plaćanje u mobilnom poslovanju. Sigurnost mobilnog poslovanja. Mobilno poslovanje i privatnost.